Internet Explorer: Microsoft ignoruje bezpečnostní mezery v SSL

21. 9. 2009

Sdílet

Microsoft stále neuznává slabiny ve svém webovém prohlížeči Internet Explorer, které byly odhaleny před sedmi týdny a které mohou být zneužity k útoku zvenku.

Podle Microsoftu není vůbec jisté, zdali tato slabina v Internet Exploreru (IE) vůbec existuje. S tím však zásadně nesouhlasí Apple, jehož verze webového prohlížeče Safari pro operační systém Windows, založená na kódu od Microsoftu, má bezpečnostní mezery způsobené právě tímto kódem. „Pokud není Microsoft sto problém opravit, nemůže tak učinit ani Apple“ uvádí Apple ve svém prohlášení.

„Microsoft v současné době vyšetřuje možnou chybu zabezpečení v systému Windows. Jakmile bude naše šetření kompletní, přijmeme vhodná opatření na ochranu našich zákazníků“ řekl mluvčí společnosti Microsoft prostřednictvím e-mailu.

Slabost může být zneužita tzv. man-in-the-middle útočníky, kteří jsou díky zachycení žádostí ze zranitelných prohlížečů schopni změnit nastavení SSL spojení. Pokud tak například útočící server zachytí požadavek, může reagovat autentickým certifikátem X.509. Zranitelný prohlížeč si certifikát může interpretovat jako autorizaci a nastaví relaci s útočícím serverem.

Uživatel, který požadavek vyslal, pak bude přirozeně předpokládat, že připojení bylo úspěšně navázáno. Jakmile je spojení vytvořeno, může útočící server požádat o přístupové heslo a uživatelskou identifikaci, takže útočník bude moci proniknout do cizího účtu a volně manipulovat s jeho prostředky.

Podle mluvčího Microsoftu jsou však domény v prohlížeči Internet Explorer 8 zvýrazněny tak, aby byly vizuálně zřejmé. „Zlepšený adresní řádek v Internet Exploreru 8 pomáhá uživatelům snadněji zajistit, že poskytují osobní údaje pouze stránkám, kterým důvěřují“ napsal mluvčí společnosti Microsoft v emailu.